Professional Documents
Culture Documents
Bài thực hành 05.2. Triển khai mạng riêng ảo VPN SSTP - v1
Bài thực hành 05.2. Triển khai mạng riêng ảo VPN SSTP - v1
HÀ NỘI, 2015
MỤC LỤC
TRIỂN KHAI dịch vụ truy cập từ xa vpn sử dụng giao thức ssl và
radius ........................................................................................................................ 5
1.1. Chuẩn bị ............................................................................................................. 5
1.2. Mô hình triển khai .............................................................................................. 5
1.3. Các bước thực hiện ............................................................................................. 5
1.4. Thực hiện trên máy chủ DC ............................................................................... 6
1.4.1. Tạo người dùng cho phép truy cập từ xa thông qua VPN ...................... 6
1.4.2. Cài đặt dịch vụ Network Policy Server ................................................... 8
1.4.3. Cấu hình Radius Server trong Network Policy Server ........................... 9
1.4.4. Cài đặt dịch vụ trung tâm chứng thực CA ............................................ 15
1.4.5. Cấu hình CA để cấp phát chứng thư số cho máy chủ SRV ................... 16
1.4.6. Cấp phát chứng thư số .......................................................................... 18
1.5. Thực hiện trên máy chủ SRV ........................................................................... 25
1.5.1. Cài đặt ứng dụng Routing and Remote Access ..................................... 25
1.5.2. Cấu hình dịch vụ Routing and Remote Access ...................................... 26
1.6. Thực hiện trên máy Windows 7 ....................................................................... 32
1.7. Kiểm tra kết quả ............................................................................................... 36
-2-
THÔNG TIN CHUNG VỀ BÀI THỰC HÀNH
Tên bài thực hành: Triển khai dịch vụ truy cập từ xa VPN
Module: Quản trị an toàn hệ thống
Số lượng sinh viên cùng thực hiện: 01
Địa điểm thực hành: Phòng máy
Yêu cầu:
− Yêu cầu phần cứng:
+ Mỗi sinh viên được bố trí 01 máy tính với cấu hình tối thiểu: CPU 2.0 GHz,
RAM 8GB, HDD 50GB
− Yêu cầu phần mềm trên máy:
+ Hệ điều hành Windows 7. Server 2012
+ VMware Worstation 9.0 trở lên
− Công cụ thực hành:
+ Máy ảo VMware: Windows 7 SP1, Windows Server 2012. Trên mỗi máy ảo
có ít nhất 02 phân vùng ổ cứng. Trong đó phân vùng C: chứa hệ điều hành,
phân vùng D: có ít nhất 10 GB còn trống.
− Yêu cầu kết nối mạng LAN: không
− Yêu cầu kết nối mạng Internet: không
− Yêu cầu khác: máy chiếu, bảng viết, bút/phấn viết bảng
Công cụ được cung cấp cùng tài liệu này:
−
−
-3-
CHUẨN BỊ BÀI THỰC HÀNH
-4-
TRIỂN KHAI DỊCH VỤ TRUY CẬP TỪ XA VPN SỬ DỤNG
GIAO THỨC SSL VÀ RADIUS
1.1. Mô tả
Khi người dùng có yêu cầu kết nối từ xa tới hệ thống mạng nội bộ bên
trong để truy cập dữ liệu thì cần phải đảm bảo an toàn dữ liệu truyền trên
mạng tránh kẻ tấn công có thể chặn bắt, nghe lén, độc trộm nội dung dữ
liệu.
Triển khai công nghệ mạng riêng ảo VPN trên máy chủ Windows
Server 2012 sử dụng giao thức bảo mật SSL/TLS kết hợp với giao thức
xác thực RADIUS. Với giao thức này chỉ người dùng có tài khoản trong
máy chủ Active Directory mới truy cập được.
1.2. Chuẩn bị
− Máy ảo chạy hệ điều hành Windows 7 có kết nối vào Lan Segment
(Switch ảo của VMware) đã thiết lập.
− Máy ảo chạy hệ điều hành Windows Server 2012 kết nối cùng với
Lan Segment với Windows 7.
1.3. Mô hình triển khai
-6-
− Thiết lập địa chỉ IP tĩnh theo mô hình triển khai
− IP của card LAN
-7-
lửa trên cả 3 máy DC, SRV, Client.
− Đảm bảo rằng có thể ping đuợc giữa SRV – DC và từ SRV – Client
− Tiếp tục Next theo mặc định và chọn Install để cài đặt.
− Sau khi quá trình cài đặt hoàn tất, chọn Promote this server to a
domain controller.
-8-
− Chọn Add a new forest. Tại mục Root domain name đặt tên domain
name
− Tiếp tục chọn Next theo mặc định và Install để nâng cấp lên thành
DC. Máy chủ DC sẽ tự khởi động lại sau khi nâng cấp hoàn tất. Tài khoản
đăng nhập bây giờ sẽ có dạng DOMAIN\user như hình dưới.
1.6.2. Tạo người dùng cho phép truy cập từ xa thông qua VPN
-9-
− Truy cập theo đường dẫn: Server Manager → Tools → Active
Directory User and Computer.
− Phải chuột vào thư mục Users → New → User.
− Đặt tên người dùng cho phép truy cập từ xa là: kmavpn
− Giao diện tiếp theo đặt mật khẩu cho người dùng. Chú ý mật khẩu ở
đây phải đạt mức phức tạp.
− Nhấn Next và Finish để kết thúc quá trình tạo người dùng.
− Bước tiếp theo cấu hình để người dùng này được phép truy cập từ
xa.
− Chuột phải vào người dùng chọn Properties, chọn Tab Dial-in →
- 10 -
Allow access.
− Nhấn Apply → OK để kết thúc.
− Tạo nhóm VPN và thêm người dùng này vào nhóm.
− Đầu tiên phải cấu hình định nghĩa máy Radius Client chính là máy
SRV. Chuột phải vào mục Radius Clients chọn New:
− Giao diện xuất hiện nhập thông tin của máy chủ SRV:
- 13 -
− Nhập tên và địa chỉ IP của máy SRV.
− Phần Shared Secret: Khóa bí mật chia sẻ giữa 2 máy. Khóa bí mật
này 2 máy phải nhập giống nhau.
− Tiếp theo cần phải định nghĩa chính sách xác thực.
- 14 -
− Truy cập vào mục Policies → Network Policies. Giao diện như sau:
− Xóa 2 chính sách mặc định đã có. Và tạo chính sách mới. Chuột
phải vào Network Policies → New
− Mục Policy name đặt tên là VPN.
− Mục Type of network access server: chọn Remote Access Server
- 15 -
− Nhấn OK → OK để tiếp tục.
− Vẫn trong giao diện Conditions tiếp tục chọn Add để thêm điều
kiện khác. Giao diện select condition xuất hiện tìm đến và chọn NAS
PortType:
− Chọn Add để xuất hiện bảng lựa chọn dịch vụ. Tích chọn Virtual
(VPN)
- 16 -
− Chọn Next để tiếp tục.
− Giao diện tiếp theo chọn quyền truy cập: chọn Access granted
- 17 -
− Các giao diện tiếp thể để mặc định. Chọn Finish để kết thúc.
- 18 -
− Các bước tiếp theo chọn Next.
− Đến giao diện Select roles services: Tích 2 tùy chọn như hình sau.
Các bước tiếp theo để mặc định và chọn Install để cài đặt.
1.6.6. Cấu hình CA để cấp phát chứng thư số cho máy chủ SRV
− Sau khi cài đặt dịch vụ trong giao diện Dashboard. Góc trên bên
cạnh lá cờ có mục cảnh báo. Trong mục cảnh báo này hệ thống yêu cầu
- 19 -
−
− Chọn Next để tiếp tục.
− Giao diện tiếp theo chọn 2 tùy chọn như hình sau:
- 20 -
− Giao diện tiếp theo đặt tên cho CA:
- 21 -
− Truy cập theo đường dẫn để mở giao diện quản lý CA: Server
Manager → Tools → Certification Authority → Certificate
Templates.
− Chuột phải vào mục Certificate Templates → Manage. Tìm đến
template cho IPSec. Nháy chuột phải vào chọn Duplicate Template.
− Trong cửa sổ mới xuất hiện chọn tab General. Tại mục Template
display name sửa thành SSTP
- 22 -
− Tab Subject Name chọn Supply in the request
- 23 -
− Chọn tới Template SSTP vừa tạo rồi OK.
1.7. Thực hiện trên máy chủ SRV
1.7.1. Join máy chủ SRV vào DC
− Thực hiện gia nhập SRV vào DC
− Sau khi gia nhập thành công, máy SRV sẽ tự khởi động lại và màn
hình đăng nhặp sau đó cũng có dạng tương tự như bên DC.
- 24 -
1.7.2. Xin cấp phát chứng thư số
− Bật chương trình MMC từ Run:
- 25 -
− Cửa sổ lựa chọn định dạng chứng thư số chọn Computer account →
Finish.
− Tại cửa sổ quản lý chứng thư, chuột phải Personal →All Tasks →
Request New Certificate
− Tiếp tục chọn Next theo mặc định, tại cửa sổ Request Certificates
chọn SSTP và click vào biểu tượng cảnh báo màu vàng.
- 26 -
− Chọn Apply → OK. Chọn Enroll để yêu cầu cấp chứng thư số.
Chọn Finish để hoàn tất quá trình.
− Giao diện Select role service: Tích chọn 2 tùy chọn như hình sau:
- 28 -
− Cửa sổ cấu hình xuất hiện.
− Chuột phải vào Server SRV chọn Configure and Enable Routing:
- 29 -
− Chọn Next và Finish để kết thúc. Giao diện sau khi cài đặt.
- 30 -
− Nhấn OK để đóng cửa sổ.
− Tương tự thiết lập cho mục Accounting provider:
- 31 -
− Tiếp tục cấu hình NAT để cho phép máy trạm có thể truy cập được
vào webserer trong máy chủ DC.
− Chuột phải vào NAT, chọn New Interface. Giao diện xuất hiện
chọn Interface bên ngoài WAN.
− Cửa sổ xuất hiện cần thiết lập địa chỉ IP của DC:
- 32 -
− Nhấn OK → Apply → OK để kết thúc cấu hình.
1.8. Thực hiện trên máy Windows 7
− Truy cập tới dịch vụ cấp phát chứng thư số trong máy chủ DC
thông qua trình duyệt web theo đường dẫn http://192.168.1.1/certsrv.
- 34 -
.
− Trường hợp xuất hiện hộp thoại cảnh báo có muốn cài Certificate
này không ta chọn Yes.
− Thực hiện kiểm tra và thấy chứng thư số đã được cài vào máy
- 35 -
− Bước tiếp theo cài đặt và cấu hình kết nối VPN. Truy cập theo
đường dẫn: Control Panel → Network and Sharing Center → Set up a
new connection or network or network.
- 36 -
− Giao diện tiếp theo chọn kết nối thông qua VPN:
− Bước kết tiếp nhập tài khoản đã tạo trên máy chủ DC. Chọn Create
để tạo kết nối.
- 37 -
− Truy cập vào đường dẫn Control Panel\Network and
Internet\Network Connections. Cửa sổ đăng nhập kết nối xuất hiện.
− Chọn Properties để cấu hình sử dụng giao thức SSTP. Tab Security
chọn kết nối SSTP.
− Các thông số khác để mặc định. Chọn OK để lưu và đóng cửa sổ.
Truy cập vào Registry thông qua Run. (gõ regedit)
− Truy cập theo đường dẫn: HKEY_LOCAL_MACHINE →
SYSTEM → CurrentControlSet → Services → SstpSvc.
- 38 -
− Chuột phải vào mục Parameters → New → DWORD
− Đặt tên DWORD này là: NoCertRevocationCheck có giá trị là 1.
- 39 -
1.9. Kiểm tra kết quả
− Tại máy Windows 7 thực hiện Ping tới máy chủ DC. Thành công.
− Kiểm tra gói tin gửi trên đường truyền. Thực hiện cài đặt công cụ
chặn bắt và phân tích gói tin WireShark.
− Các gói tin đã được mã hóa với giao thức TLSv1. Kết thúc bài thực
hành./.
- 40 -